Özet
15,000'te 2023'den fazla ve 25,227'de 2022 güvenlik açığının belirlenmesiyle, kuruluşlar kendilerine sunulan kaynaklara bağımlıdır. Kuruluşlar, bulguların hacmi ve hangisinin önce ele alınacağını zamanında ve iyi değerlendirilmiş bir şekilde belirlemek için güvenlik açıklarını sınıflandırmanın zorlu görevi karşısında giderek daha fazla bunalmaktadır.
Sonuç olarak, olgunlaşan güvenlik açığı yönetim süreçlerine ve geleneksel ciddiyet derecelendirmelerinden uzaklaşmaya ihtiyaç vardır. Tehdit aktörü yeteneklerinin evrimi istismarın artışını büyük ölçüde etkilediğinden, kuruluşların güvenlik açığı yönetiminde önceliklendirme için sürdürülebilir çerçeveler ve standartlar uygulaması önemlidir. Bu makale, güvenlik açığı yönetimiyle ilgili bir dizi iletişimin ilk yinelemesi olarak durmaktadır ve önceliklendirmenin önemine ve çeşitli önerilen kavramları kullanarak kuruluşlara uygulanabilirliğine odaklanmaktadır.
Yönetici Özeti
Ağ güvenliği ekipleri, sıklıkla devam eden güvenlik açıklarının yayınlanmasıyla yükümlüdür.
ya kamuya açıklanmış ya da satıcılar ve güvenlik araştırmacıları tarafından sıfır gün olarak tanımlanmıştır. Bu güvenlik açıklarının her birinin ciddiyet ve istismar edilebilirlik düzeyleri, bir Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı ve genellikle bir Ortak Güvenlik Açıkları ve Maruziyetler (CVE) numarası ile ilişkilendirilmiştir. Bu bilgi yığınları hantal olduğu kanıtlanmıştır ve zaman zaman kuruluşlar için güvenlik açığı yönetim yetenekleri konusunda bir bilmece oluşturabilir. Yayımlanan tüm güvenlik açıklarının yalnızca %2-7'si vahşi doğada istismar edilir ve birçok durumda önceliklendirme eksikliği nedeniyle göz ardı edilir.
Güvenlik açığı yönetiminde önceliklendirme kavramı, farklı kurumsal yetenek seviyeleri arasında etkili azaltma ve düzeltme stratejilerini desteklemeye yardımcı olduğu için önemlidir. Önceliklendirme ile kuruluşların yetenek seviyesi arasındaki ilişki, güvenlik ekiplerinin paydaşlarla etkili bir şekilde iletişim kurmasına, varlık değerini belirlemesine ve iş açısından kritik sistemlerin devamlılığına elverişli düzeltme politikaları geliştirmesine yardımcı olabileceği için yakından uyumludur. Önceliklendirme, tüm yetenek seviyelerini kapsayan ve güvenlik ekiplerinin kuruluşun risk iştahını aşan ciddiyet seviyeleriyle ilişkili güvenlik açıklarını ele almak için kaynakları uygun şekilde tahsis etmesine olanak tanıyan bir süreçtir.
Sağlık ISAC Risk Tabanlı Yaklaşım Beyaz Bülteni FNL
Alan: 4.2 MB Biçim: PDF
